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Sicherheitsmängel durch Installation der Telematikinfrastruktur für die 
Elektronische Gesundheitskarte 


Vorbemerkung der Fragesteller 

Medienberichten zufolge ist es in einigen Praxen durch die Installation der 
Komponenten für die Telematikinfrastruktur (TI) zu Sicherheitsmängeln ge¬ 
kommen. So sollen einige Praxen nach Installation der Komponenten ohne ihre 
bisherige Firewall am Internet hängen. Dies bedeutet eine erhebliche Gefähr¬ 
dung aller Rechner und Komponenten im Praxisnetzwerk (www.aerztezeitung. 
de/praxis_wirtschaft/digitalisierung_it/article/985332/telematikinfrastruktur- 
unsichere-ti-anschluesse-vielen-praxen.html). 

In einer Presseerklärung vom 25. April 2019 führt die gematik- Gesellschaft 
für Telematikanwendungen der Gesundheitskarte mbh aus, dass nicht der 
Konnektor selbst das Problem sei, sondern die Installation. Ihr seien aber „keine 
verbindlichen Zahlen bekannt, die sich auf Unsicherheiten beim Anschluss von 
Praxen an die Telematikinfrastruktur durch Dienstleister vor Ort“ bezögen 
(www.gematik.de/news/news/unsicherheiten-beim-ti-anschluss-konnektor-ist- 
nicht-das-problem/). Es sei mehr Aufklärungsarbeit notwendig, um die Dienst¬ 
leister vor Ort für einen ordnungsgemäßen Anschluss der Komponenten für die 
Telematikinfrastruktur zu sensibilisieren. 

Insgesamt ist es nach Auffassung der Fragesteller unbefriedigend, dass den Lie¬ 
ferproblemen der Komponenten nun auch noch deren Installation Probleme be¬ 
reitet. Eine Installation von Sicherheitskomponenten, die neue Sicherheitslü¬ 
cken in Praxisnetzwerken aufreißen kann, dürfte nicht zu einem verstärkten 
Vertrauen der Ärzte, Psychotherapeuten und weiteren angeschlossenen Praxen 
und Einrichtungen in die Telematikinfrastruktur führen. 


Vorbemerkung der Bundesregierung 

Die Telematikinfrastruktur stellt die technische Basis für die Vernetzung im Ge¬ 
sundheitswesen dar. Hiennit erhalten Versicherte und schrittweise alle Leistungs¬ 
erbringer der Gesundheitsversorgung die Möglichkeit, medizinische Daten sicher 
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zu teilen, sicher zu kommunizieren und sicher innovative Anwendungen zu ver¬ 
wenden. Daher sind Datenschutz und Datensicherheit zentrale Anforderungen an 
alle eingesetzten technischen Komponenten und auch an die organisatorischen 
Verfahren in der Telematikinffastruktur. Um dies sicherzustellen, ist für die Zu¬ 
lassung von Komponenten und Diensten eine Sicherheitszertifizierung durch das 
Bundesamt für Sicherheit in der Infonnationstechnik gemäß dem Stand der Tech¬ 
nik und der aktuellen Bedrohungslage erforderlich. 


1. Welche Anzahl an Anschlussorten ist nach Kenntnis der Bundesregierung 
durch eine unsichere Installation der TI-Komponenten betroffen? 

2. Wie bewertet die Bundesregierung die aufgetretenen Sicherheitsmängel? 

3. Welche Sicherheitsmängel sind konkret bei der Installation von TI-Kompo¬ 
nenten in einigen Praxen nach Kenntnis der Bundesregierung entstanden? 

4. Wodurch wurden die Sicherheitsmängel nach Kenntnis der Bundesregierung 
verursacht? 

5. Welche Maßnahmen unternimmt die Bundesregierung, um diese Sicher¬ 
heitsprobleme abzustellen? 

Die Fragen 1 bis 5 werden wegen ihres Sachzusammenhangs gemeinsam beant¬ 
wortet. 

Datenschutz und Datensicherheit in der Telematikinfrastruktur sind für das Bun¬ 
desministerium für Gesundheit (BMG) von größter Bedeutung. Das BMG nimmt 
deshalb Presseberichte sehr ernst, dass die Installation der Konnektoren bei eini¬ 
gen Leistungserbringern nicht dem Stand der Technik entsprach, und befindet 
sich in enger Abstimmung mit der Gesellschaft für Telematik und dem Bundes¬ 
amt für Sicherheit in der Informationstechnik. 

Die in der Presse aufgezeigten Probleme wurden insbesondere durch die unzu¬ 
reichende Abstimmung des Dienstleisters für die Installation der Komponenten 
der Telematikinfrastruktur und des lokalen Administrators des IT-Systems in der 
ärztlichen bzw. zahnärztlichen Praxis hervorgerufen. Die Sicherheit der Konnek¬ 
toren selbst bzw. der Telematikinffastruktur war von den Vorfällen nicht betrof¬ 
fen. 

Als erste Maßnahme hat die Gesellschaft für Telematik zusammen mit allen Ge¬ 
sellschaftern Maßnahmen zur verstärkten Sensibilisierung der Leistungserbringer 
und der Dienstleister ergriffen. Dazu gehören eine Informationsbroschüre zur si¬ 
cheren Installation der Konnektoren und ein Musterinstallationsprotokoll. Wei¬ 
tere Maßnahmen werden zurzeit geprüft. 

Das BMG strebt an, die IT-Sicherheit bei den niedergelassenen Ärztinnen und 
Ärzten nachhaltig zu stärken. Der Referentenentwurf des Gesetzes für eine bes¬ 
sere Versorgung durch Digitalisierung und Innovation sieht deshalb vor, dass die 
Kassenärztliche Bundesvereinigung und die Kassenzahnärztliche Bundesvereini¬ 
gung bis zum 31. März 2020 verbindliche Richtlinien zur Gewährleistung der IT- 
Sicherheit festlegen müssen. Die Kassenärztliche Bundesvereinigung und die 
Kassenzahnärztliche Bundesvereinigung sollen darüber hinaus auch die Möglich¬ 
keit erhalten, IT-Dienstleister zu zertifizieren. 
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6. Welche Anzahl an Praxen und Einrichtungen soll nach Planung der Bundes¬ 
regierung insgesamt an die TI angeschlossen werden? 

Die Bundesregierung geht davon aus, dass in einem ersten Schritt ca. 177 000 
Arzt- und Zahnarztpraxen, ca. 2 000 Krankenhäusern und ca. 19 500 Apotheken 
an die Telematikinfrastruktur angeschlossen werden. 


7. Welche Anzahl an Praxen und Einrichtungen ist nach Kenntnis der Bundes¬ 
regierung aktuell an die TI angeschlossen? 

Nach Kenntnis der Bundesregierung waren Mitte Juni 2019 ca. 100 000 Arzt- und 
Zahnarztpraxen an die Telematikinfrastruktur angeschlossen. 


8. Welche Anzahl an Praxen und Einrichtungen kann nach Kenntnis der Bun¬ 
desregierung bis zum 30. Juni 2019 an die TI angeschlossen werden? 

9. Welche Anzahl an Praxen und Einrichtungen kann nach Kenntnis der Bun¬ 
desregierung aus welchen Gründen nicht zum 30. Juni 2019 an die TI ange¬ 
schlossen werden? 

Die Fragen 8 und 9 werden wegen ihres Sachzusammenhangs gemeinsam beant¬ 
wortet. 

Die Bundesregierung geht davon aus, dass alle Arzt- und Zahnarztpraxen, die 
rechtzeitig bestellt haben, auch bis zum 30. Juni 2019 ausgestattet und an die Te- 
lematikinffastruktur angeschlossen werden können. 


10. Sind alle Hardwarekomponenten für den Anschluss von Praxen, Gesund¬ 
heitseinrichtungen und Krankenhäusern nach Kenntnis der Bundesregierung 
in ausreichender Anzahl verfügbar und lieferbar, und wenn nein, welche, aus 
welchen Gründen nicht? 

Nach Kenntnis der Bundesregierung sind für den Anschluss von Praxen und 
Krankenhäusern von Seiten der Industrie Flardwarekomponenten in ausreichen¬ 
der Anzahl vorhanden. Krankenhäuser können den Anschluss über normale 
Konnektoren oder spezielle Rechenzentrumskonnektoren realisieren. Für spezi¬ 
elle Rechenzentrumskonnektoren liegen der Industrie die notwendigen Anforde¬ 
rungen und die finanziellen Rahmenbedingungen vor. Diese Anforderungen sind 
in den Finanzierungsvereinbarungen zwischen der Deutschen Krankenhausge¬ 
sellschaft und dem Spitzenverband Bund der Krankenkassen niedergelegt. Meh¬ 
rere Industrieunternehmen haben angekündigt, einen Rechenzentrumskonnektor 
zu entwickeln. 


11. Welche Anzahl an Praxen wird nach Kenntnis der Bundesregierung von Ho¬ 
norarkürzungen gemäß § 215 Absatz 2b des Fünften Buches Sozialgesetz¬ 
buch (SGB V) betroffen sein? 

Die Anzahl der Praxen, die möglicherweise von Honorarkürzungen nach (richtig) 
§ 291 Absatz 2b SGB V betroffen sein könnte, kann derzeit nicht abgeschätzt 
werden (siehe hierzu auch Antwort zu Frage 12). 
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12. Mit welcher finanziellen Höhe der Honorarkürzungen rechnet die Bundesre¬ 
gierung in den Jahren 2019 und 2020? 

a) Mit welchen Maßnahmen sollen die Honorarkürzungen durch wen durch¬ 
gesetzt werden? 

b) Was geschieht mit den gekürzten Mitteln, wie werden diese verwendet, 
bzw. wohin fließen sie nach welchen Kriterien zurück? 

Die Fragen 12 bis 12b werden wegen ihres Sachzusammenhangs gemeinsam be¬ 
antwortet. 

Den an der vertragsärztlichen Versorgung teilnehmenden Ärztinnen und Ärzten, 
Einrichtungen und Zahnärztinnen und Zahnärzten, die die Online-Prüfung der 
Versichertenstammdaten ab dem 1. Januar 2019 nicht durchfuhren, ist die Vergü¬ 
tung vertragsärztlicher Leistungen pauschal um ein Prozent so lange zu kürzen, 
bis sie die Prüfung durchfuhren. Die Mitteilung über die durch-gefuhrte Online- 
Prüfung ist Bestandteil der an die jeweils zuständige Kassenärztliche oder Kas¬ 
senzahnärztliche Vereinigung zu übermittelnden Abrechnungsunterlagen. Diese 
haben von der Kürzung bis zum 30. Juni 2019 abzusehen, sofern die Anschaffung 
der für die Prüfung erforderlichen Ausstattung bereits vor dem 1. April 2019 ver¬ 
traglich vereinbart und gegenüber der jeweils zuständigen Kassenärztlichen oder 
Kassenzahnärztlichen Vereinigung nachgewiesen worden ist. Nach Angaben der 
Kassenärztlichen Bundesvereinigung (KBV) richtet sich die Verwendung der 
durch Kürzung der vertragsärztlichen Vergütung einbehaltenen Mittel nach den 
gesamtvertraglichen Regelungen, die zwischen den regionalen Gesamtvertrags- 
partnem vereinbart wurden. Eine bundeseinheitliche Vorgabe existiert hierzu 
nicht. Der Umfang der in den Jahren 2019 und 2020 möglicherweise vorzuneh¬ 
menden Kürzungen und damit die mögliche finanzielle Höhe der Kürzungen in 
diesem Zeitraum kann derzeit nicht abgeschätzt werden. 


13. Welcher Sicherheitsvorteil entsteht nach Auffassung der Bundesregierung 
durch die Nutzung der Tl-Hardwarekomponenten, wenn gleichzeitig ein 
App-Zugang für Endnutzer zur Nutzung von Gesundheitskontrollen über 
Smartphones zur Verfügung gestellt werden soll, für den diese Sicherheits¬ 
hardware nicht benötigt wird? 

Anbieter von Komponenten der Telematikinfrastruktur müssen für die Zulassung 
durch die gematik eine Sicherheitszertifizierung nach dem international aner¬ 
kannten Common-Criteria-Verfahren bzw. ein unabhängiges Sicherheitsgutach¬ 
ten nachweisen. Dabei werden in einer Sicherheitsbetrachtung insbesondere das 
Bedrohungspotential, die Sicherheitsziele und Sicherheitsanforderungen analy¬ 
siert. Dies führt zu differenzierten technischen Lösungen für die App auf dem 
Smartphone eines Versicherten und den Anschluss einer Arztpraxis an die Tele¬ 
matikinfrastruktur. 


14. Sollen Daten der TI nach Planungen der Bundesregierung für Nutzer im Aus¬ 
land nutzbar gemacht werden, etwa für Erkrankungen der Versicherten wäh¬ 
rend einer Auslandsreise, und wenn ja, wie, in welcher Form, und benötigen 
die Nutzer im Ausland dann auch TI-Hardwarekomponenten? 

Der grenzüberschreitende Gesundheitsdatenaustausch soll nach den derzeitigen 
EU-Vereinbarungen im E-Health-Netzwerk nach Artikel 14 der Richtlinie 2011/ 
24/EU über nationale E-Health-Kontaktstellen sowie ein sicheres EU-Netz zwi¬ 
schen Verwaltungen (TESTA-Netz) durchgeführt werden. Der Anschluss der na¬ 
tionalen E-Health-Kontaktstellen an die jeweiligen nationalen Infrastrukturen ob¬ 
liegt den jeweiligen Mitgliedstaaten auf Basis gemeinsamer Vereinbarungen im 
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E-Health-Netzwerk. Die Installation von TI-Hardwarekomponenten bei den Leis¬ 
tungserbringern im EU-Ausland ist nicht vorgesehen. Es ist Gegenstand der der¬ 
zeitigen Diskussion, wie eine nationale E-EIealth-Kontaktstelle sicher an die deut¬ 
sche Telematikinfrastruktur angeschlossen werden kann. In Deutschland ist vor¬ 
gesehen, dass der grenzüberschreitende Austausch nur auf Basis der Zustimmung 
des Patienten erfolgen kann. Zudem ist eine sichere Identifizierung und Authen- 
tifizierung im EU-Ausland erforderlich. 
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